Kubernetes自动在一个pod中的每个正在运行的容器的/var/run/secrets/kubernetes.io/serviceaccount中放置一个令牌和证书。此令牌允许从任何容器访问API服务器。
是否可以阻止将此目录添加到容器中或指定没有权限的服务帐户?
答案 0 :(得分:3)
该令牌没有明确的权限。如果您使用AllowAll以外的任何授权模式运行,您会发现该帐户无法对API执行任何操作。
如果要停止注入API令牌,可以从列表中删除服务帐户许可控制器(在apiserver选项中)。
如果要完全停止生成令牌,可以从控制器管理器启动选项中删除私钥参数。